オペレータは、システム プロパティの値の追加や変更ができます。
次の表に、システム プロパティの一部を記載します。オペレータは、これらのプロパティの値を設定できます。
- アラート メール
- アラート
- 認証局
- データ保持
- Edge
- Edge アクティベーション
- 監視
- 通知
- パスワードのリセットとロックアウト
- API のレート制限
- リモート診断
- セルフサービス パスワード リセット
- 2 要素認証
- 仮想ネットワーク機能 (VNF) 構成
- VPN
| システム プロパティ | 説明 |
|---|---|
| vco.alert.mail.to | アラートがトリガーされると、このシステム プロパティの [値 (Value)] フィールドに記載されているリストのメール アドレスに、すぐに通知が送信されます。複数の E メール ID をカンマ区切りで入力できます。 このプロパティに値が含まれていない場合、通知は送信されません。 この通知は、ユーザーに通知する前に、差し迫った問題のアラートを VMware サポート/運用担当者に送信することを目的としています。 |
| vco.alert.mail.cc | アラート メールがどのユーザーに送信される場合でも、このシステム プロパティの [値 (Value)] フィールドに記載されているメール アドレスにコピーが送信されます。複数の E メール ID をカンマ区切りで入力できます。 |
| mail.* | アラート メールを制御するために使用できるシステム プロパティは複数あります。SMTP プロパティ、ユーザー名、パスワードなどの E メール パラメータを定義できます。 |
| システム プロパティ | 説明 |
|---|---|
| vco.alert.enable | オペレータとエンタープライズ ユーザーの両方のアラート生成をグローバルに有効または無効にします。 |
| vco.enterprise.alert.enable | エンタープライズ ユーザーのアラート生成をグローバルに有効または無効にします。 |
| vco.operator.alert.enable | オペレータのアラート生成をグローバルに有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| edge.certificate.renewal.window | このオプションのシステム プロパティにより、オペレータは、Edge 証明書の更新が有効となる 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。 システム プロパティを有効にする: このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。このシステム プロパティが有効になっているときの最初の部分の例を次に示します。 オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。
注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。
システム プロパティを無効にする: このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。 { "enabled": false, "windows": [ { 注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。 |
| gateway.certificate.renewal.window | このオプションのシステム プロパティにより、オペレータは、ゲートウェイ証明書の更新が有効な 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。 システム プロパティを有効にする: このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。例については、次の図を参照してください。 オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日、または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。
注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。
システム プロパティを無効にする: このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled] が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。 { "enabled": false, "windows": [ { 注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。 |
| システム プロパティ | 説明 |
|---|---|
| retention.highResFlows.days | このシステム プロパティにより、オペレータは、高解像度のフロー統計情報のデータ保持を 1 ~ 90 日の間で設定できます。 |
| retention.lowResFlows.months | このシステム プロパティにより、オペレータは、低解像度のフロー統計情報のデータ保持を 1 ~ 365 日の間で設定できます。 |
| session.options.maxFlowstatsRetentionDays | このプロパティにより、オペレータは 2 週間を超えるフロー統計情報のデータをクエリできます。 |
| システム プロパティ | 説明 |
|---|---|
| edge.offline.limit.sec | 指定の期間に Edge からのハートビートが Orchestrator で検出されない場合、Edge の状態は OFFLINE モードに移行されます。 |
| edge.link.unstable.limit.sec | 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは UNSTABLE モードに移行されます。 |
| edge.link.disconnected.limit.sec | 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは切断されます。 |
| edge.deadbeat.limit.days | 指定した日数の間 Edge がアクティブでない場合、Edge はアラートの生成で考慮されません。 |
| vco.operator.alert.edgeLinkEvent.enable | Edge Link イベントのオペレータ アラートをグローバルに有効または無効にします。 |
| vco.operator.alert.edgeLiveness.enable | Edge Liveness イベントのオペレータ アラートをグローバルに有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| edge.activation.key.encode.enable | Edge のアクティベーション メールがサイトの連絡先に送信されるときに、Base64 はアクティベーション URL パラメータを不明瞭な値にエンコードします。 |
| edge.activation.trustedIssuerReset.enable | Orchestrator 認証局のみが含まれるように、Edge の信頼されている証明書発行者リストをリセットします。Edge からのすべての TLS トラフィックは、新しい発行者リストによって制限されます。 |
| network.public.certificate.issuer | [edge.activation.trustedIssuerReset.enable] が True に設定されている場合、[network.public.certificate.issuer] の値を Orchestrator サーバ証明書の発行者の PEM エンコーディングと等しくなるように設定します。これにより、Orchestrator 認証局に加えて、サーバ証明書の発行者が Edge の信頼された発行者に追加されます。 |
| システム プロパティ | 説明 |
|---|---|
| vco.monitor.enable | エンタープライズおよびオペレータ エンティティの状態の監視をグローバルに有効または無効にします。値を [False] に設定すると、SD-WAN Orchestrator ではエンティティの状態を変更したりアラートをトリガーしたりすることができなくなります。 |
| vco.enterprise.monitor.enable | エンタープライズ エンティティの状態の監視をグローバルに有効または無効にします。 |
| vco.operator.monitor.enable | オペレータ エンティティの状態の監視をグローバルに有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| vco.notification.enable | オペレータとエンタープライズの両方へのアラート通知の配信をグローバルに有効または無効にします。 |
| vco.enterprise.notification.enable | エンタープライズへのアラート通知の配信をグローバルに有効または無効にします。 |
| vco.operator.notification.enable | オペレータへのアラート通知の配信をグローバルに有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.resetPassword.token.expirySeconds | エンタープライズ ユーザーのパスワード リセット リンクの有効期限が切れるまでの期間。 |
| vco.enterprise.authentication.passwordPolicy | エンタープライズ ユーザーのパスワード有効期限とパスワード履歴ポリシーを定義します。 [値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。
[expiry]:
[history]:
|
| enterprise.user.lockout.defaultAttempts | エンタープライズ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。 |
| enterprise.user.lockout.defaultDurationSeconds | エンタープライズ ユーザー アカウントがロックされる期間。 |
| enterprise.user.lockout.enabled | エンタープライズのログイン失敗のロックアウト オプションを有効または無効にします。 |
| vco.operator.resetPassword.token.expirySeconds | オペレータ ユーザーのパスワード リセット リンクが期限切れになるまでの期間。 |
| vco.operator.authentication.passwordPolicy | オペレータ ユーザーのパスワード有効期限とパスワード履歴ポリシーを定義します。 [値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。
[expiry]:
[history]:
|
| operator.user.lockout.defaultAttempts | オペレータ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。 |
| operator.user.lockout.defaultDurationSeconds | オペレータ ユーザー アカウントがロックされる期間。 |
| operator.user.lockout.enabled | オペレータのログイン失敗のロックアウト オプションを有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| vco.api.rateLimit.enabled | オペレータ スーパー ユーザーがシステム レベルでレート制限機能を有効または無効にできるようにします。デフォルトでは、値は「[False]」です。
注: レートリミッタは完全には有効化されていません。つまり、
[vco.api.rateLimit.mode.logOnly] 設定が無効にされていない限り、構成された制限を超える API リクエストを拒否しません。
|
| vco.api.rateLimit.mode.logOnly | オペレータ スーパー ユーザーが [LOG_ONLY] モードでレート制限を使用できるようにします。値が [True] に設定され、レート制限を超えると、このオプションはエラーのみを記録し、それぞれのメトリックを起動して、クライアントがレート制限なしで要求を実行することを許可します。 値が [False] に設定されている場合、要求 API が定義されたポリシーによって制限され、HTTP 429 が返されます。 |
| vco.api.rateLimit.rules.global | JSON 配列で、レートリミッタによって使用されるグローバルに適用可能なポリシーのセットを定義できます。デフォルトでは、値は空の配列です。 各タイプのユーザー(オペレータ、パートナー、および顧客)は、5 秒ごとに最大 500 の要求を実行できます。要求の数は、レート制限された要求の動作パターンに基づいて変更される場合があります。 JSON 配列は次のパラメータで構成されます。
[Types]:type オブジェクトは、レート制限が適用されるさまざまなコンテキストを表します。使用可能な type オブジェクトは次のとおりです。
[Policies]:ルールをポリシーに追加して、ルールに一致する要求を適用します。次のパラメータを構成します。
[Enabled]:各タイプの制限を有効または無効にするには [APIRateLimiterTypeObject] に [enabled] キーを含めます。デフォルトでは、キーが含まれていない場合でも、[enabled] の値は「True」になります。個々のタイプの制限を無効にするには、["enabled": false] キーを含める必要があります。 次の例は、デフォルト値の JSON ファイルのサンプルを示しています。 [
{
"type": "OPERATOR_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
},
{
"type": "MSP_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
},
{
"type": "ENTERPRISE_USER",
"policies": [
{
"match": {
"type": "ALL"
},
"rules": {
"reservoir": 500,
"reservoirRefreshAmount": 500,
"reservoirRefreshInterval": 5000
}
}
]
}
]
注: 構成パラメータのデフォルト値を変更しないことをお勧めします。
|
| vco.api.rateLimit.rules.enterprise.default | 新しく作成されたユーザーに適用されるエンタープライズ固有のポリシーのデフォルト セットを構成します。ユーザー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterprise] に保存されます。 |
| vco.api.rateLimit.rules.enterpriseProxy.default | 新しく作成されたパートナーに適用されるエンタープライズ固有のポリシーのデフォルト セットを構成します。パートナー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterpriseProxy] に保存されます。 |
レート制限の詳細については、API 要求のレート制限を参照してください。
| システム プロパティ | 説明 |
|---|---|
| network.public.address | SD-WAN Orchestrator ユーザー インターフェイスにアクセスするために使用されるブラウザ オリジン アドレス/DNS ホスト名を指定します。 |
| network.portal.websocket.address | ブラウザのアドレスが network.public.address システム プロパティの値と一致していない場合、ブラウザから SD-WAN Orchestrator ユーザー インターフェイスにアクセスする代替の DNS ホスト名/アドレスを設定できます。 リモート診断で WebSocket 接続が使用されるようになったため、Web セキュリティを確保するために、Orchestrator ユーザー インターフェイスへのアクセスに使用されるブラウザ オリジン アドレスが、受信要求に対して検証されます。ほとんどの場合、このアドレスは |
| session.options.websocket.portal.idle.timeout | アイドル状態のブラウザ WebSocket 接続がアクティブを維持する合計時間(秒単位)を設定できます。デフォルトでは、ブラウザの WebSocket 接続はアイドル状態で 300 秒間アクティブです。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.resetPassword.twoFactor.mode | すべてのエンタープライズ ユーザーのパスワード リセット認証の第 2 レベルのモードを定義します。現在、SMS モードのみがサポートされています。 |
| vco.enterprise.resetPassword.twoFactor.required | エンタープライズ ユーザーのパスワード リセットの 2 要素認証を有効または無効にします。 |
| vco.enterprise.selfResetPassword.enabled | エンタープライズ ユーザーのセルフサービス パスワード リセットを有効または無効にします。 |
| vco.enterprise.selfResetPassword.token.expirySeconds | エンタープライズ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。 |
| vco.operator.resetPassword.twoFactor.required | オペレータ ユーザーのパスワード リセットの 2 要素認証を有効または無効にします。 |
| vco.operator.selfResetPassword.enabled | オペレータ ユーザーのセルフサービス パスワード リセットを有効または無効にします。 |
| vco.operator.selfResetPassword.token.expirySeconds | オペレータ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。 |
| システム プロパティ | 説明 |
|---|---|
| vco.enterprise.authentication.twoFactor.enable | エンタープライズ ユーザーの 2 要素認証を有効または無効にします。 |
| vco.enterprise.authentication.twoFactor.mode | エンタープライズ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。 |
| vco.enterprise.authentication.twoFactor.require | エンタープライズ ユーザーに対する 2 要素認証を必須と定義します。 |
| vco.operator.authentication.twoFactor.enable | オペレータ ユーザーの 2 要素認証を有効または無効にします。 |
| vco.operator.authentication.twoFactor.mode | オペレータ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。 |
| vco.operator.authentication.twoFactor.require | オペレータ ユーザーに対する 2 要素認証を必須と定義します。 |
| システム プロパティ | 説明 |
|---|---|
| edge.vnf.extraImageInfos | 仮想ネットワーク機能 (VNF) イメージのプロパティを定義します。
[値 (Value)] フィールドに、仮想ネットワーク機能 (VNF) イメージに関する次の情報を JSON 形式で入力できます。
[
{
"vendor": "Vendor Name",
"version": "VNF Image Version",
"checksum": "VNF Checksum Value",
"checksumType": "VNF Checksum Type"
}
]
Check Point ファイアウォール イメージの JSON ファイルの例:
[
{
"vendor": "checkPoint",
"version": "r80.40_no_workaround_46",
"checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
"checksumType": "sha-1"
}
]
Fortinet ファイアウォール イメージの JSON ファイルの例:
[
{
"vendor": "fortinet",
"version": "624",
"checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
"checksumType": "sha-1"
}
]
|
| edge.vnf.metric.record.limit | データベースに格納されるレコードの数を定義します。 |
| enterprise.capability.edgeVnfs.enable | サポートされている Edge モデルで仮想ネットワーク機能 (VNF) のデプロイを有効にします。 |
| enterprise.capability.edgeVnfs.securityVnf.checkPoint | Check Point Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| enterprise.capability.edgeVnfs.securityVnf.fortinet | Fortinet Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| enterprise.capability.edgeVnfs.securityVnf.paloAlto | Palo Alto Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします |
| session.options.enableVnf | 仮想ネットワーク機能 (VNF) を有効にします |
| vco.operator.alert.edgeVnfEvent.enable | Edge の仮想ネットワーク機能 (VNF) イベントのオペレータ アラートをグローバルに有効または無効にします。 |
| vco.operator.alert.edgeVnfInsertionEvent.enable | Edge の仮想ネットワーク機能 (VNF) 挿入イベントのオペレータ アラートをグローバルに有効または無効にします。 |
| システム プロパティ | 説明 |
|---|---|
| vpn.disconnect.wait.sec | システムが VPN トンネルを切断するまで待機する時間間隔。 |
| vpn.reconnect.wait.sec | システムが VPN トンネルを再接続するまで待機する時間間隔。 |
